プロファイル適用性: レベル1 - マスターノード
ポッドが接続を確立する前にAPIサーバのサービング証明書を検証できるようにします。
ポッド内で実行されているプロセスがAPIサーバに接続する必要がある場合、APIサーバの提供証明書を確認する必要があります。これを怠ると、中間者攻撃の対象となる可能性があります。
APIサーバの提供証明書のルート証明書を
--root-ca-file引数でコントローラーマネージャに提供することで、コントローラーマネージャは信頼されたバンドルをポッドに注入し、APIサーバへのTLS接続を検証できるようにします。 |
注意デフォルトでは、
--root-ca-fileは設定されていません。 |
影響
ルート認証局ファイルを設定し、維持する必要があります。
監査
Control Planeノードで次のコマンドを実行します。
ps -ef | grep kube-controller-manager
--root-ca-file引数が存在し、APIサーバの提供証明書のルート証明書を含む証明書バンドルファイルに設定されていることを確認してください。修復
コントロールプレーンノード上のコントローラーマネージャーポッド仕様ファイル
/etc/kubernetes/manifests/kube-controller-manager.yamlを編集し、--root-ca-fileパラメータを証明書バンドルファイルに設定します。--root-ca-file=<path/to/file>